VPN avec Windows XP (masqué)

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

VPN avec Windows XP (masqué)

Messagepar iffefroi » 29 Avr 2005 14:29

Bonjour,

Je voudrais savoir si il est possible de monter un VPN entre le FreeS/WAN 1.98b et une machine Windows XP Pro situé sur un réseau privé masqué (avec un masquage d'adresse)

J'ai bien compris que si on peux configurer le routeur qui masque les adresses en VPN pass trough alors c'est possible. Le problème est qu'on se situe dans un cas où le routeur n'est pas en notre possession (ex : routeur Wifi dans un hotel)

J'ai bien cru comprendre que FreeS/Wan 1.98b ne supportait pas le nat-t, en tout cas il n'en parle pas dans la documentation. Est-ce que quelqu'un peux me confirmer que FressS/wan ne supporte pas le nat-t ? :?:

J'ai bien cru comprendre également que le client Microsoft (et oui) supportait le nat-t. Est-ce que quelqu'un peux me confirmer ce point également ? :?:

Ces premières réponses me seraient déjà d'un grand secours. :help:


Ensuite si ce que je viens de dire est vrai, alors il n'y a pas de solution sans ajout personnel de ma part. L'ajout à faire qui fonctionnerait, serait l'encapsulation dans d'autres paquets (UDP, TCP, GRE ou encore SSH).

Le problème est que l'on voudrait éviter d'installer des logiciels en plus sur la MNF (genre OpenSWan ou autres) à la rigueur un patch mais pas plus, sinon on préférerait installer un deuxième serveur pour s'occuper du tunnel IPSec.
Ceci empèche donc d'après moi de faire de l'encapsulation UDP ou TCP qui ne sont pas gérés par défaut par la MNF (ni en ligne de commande ni autres). Pouvez-vous également me confirmer celà ? :?:


Ensuite je ne vois pas l'intérêt d'encapsuler IPSec au dessus de SSH, donc cette solution semble être à exclure également.


Il reste l'encapsulation par GRE, l'ennui : c'est que je sais que c'est possible au niveau de la MNF mais je n'ai pas trouvé le moyen de le faire sur Windows ni gèrer par microsoft ni par un ajout logiciel.
Pouvez-vous également me confirmer le fait qu'on ne puisse pas faire d'encapsulation GRE sur Windows XP Pro ? :?:


Après toutes ces recherches j'en suis venu à la conclusion suivante : il n'est pas possible avec le FreeS/WAN 1.98b par défaut de la MNF de faire un VPN avec un client XP Pro ayant une adresse privée masquée.

Voilà.
Je cherche avant tout une confirmation dans mes recherches.

Merci
Iffefroi
Avatar de l’utilisateur
iffefroi
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 23 Mars 2005 12:06
Localisation: Strasbourg

Messagepar iffefroi » 02 Mai 2005 09:09

Bonjour,

Pourriez-vous au moins me confirmer : qu'il n'est pas possible de faire un VPN entre un Windows XP et une MNF dans cette configuration ?

Win XP(192.168.0.250) ---- Routeur qui masque les IP à gauche(@IP publique) --- internet --- MNF (@IP publique)

Sans ajouter de programmes non prévus par la MNF ?

Iffefroi
Avatar de l’utilisateur
iffefroi
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 23 Mars 2005 12:06
Localisation: Strasbourg

Messagepar vanvan » 02 Mai 2005 11:14

Bonjour.

et sur ton routeur ( qui nat il me semble ) tu ne peux pas définir de vpn avec ta mnf ?
Dernière édition par vanvan le 02 Mai 2005 11:18, édité 1 fois au total.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar vanvan » 02 Mai 2005 11:18

"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar iffefroi » 02 Mai 2005 11:29

Merci de me répondre, je me sens un petit peu moins seul du coup :wink:

En fait le problème se pose pour des commerciaux qui se sont à l'étranger dans un hotel. Le routeur appartient à l'hotel et l'on ne peux rien configurer dessus étant donné qu'il ne nous appartient pas.

Au niveau de la recherche que tu m'as donné, je précise que j'effectue cette recherche depuis maintenant plus d'une semaine...

Le problème ne semble pas un problème de client, le client microsoft par défaut, fonctionne très bien depuis chez moi (avec une adresse IP publique). Mon problème est que ça ne fonctionne pas avec une adresse IP privée derrière un routeur parce que Freeswan1.98b (par défaut sur MNF) ne gère pas le nat-t.

Ce que je voulais savoir, c'est si il existait une solution pour faire en sorte que Freeswan1.98b gère le NAT ou pour à la rigueur encapsuler les paquets microsoft dans du GRE afin d'éviter le problème de NAT.

Iffefroi
Avatar de l’utilisateur
iffefroi
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 23 Mars 2005 12:06
Localisation: Strasbourg

Messagepar vanvan » 02 Mai 2005 15:24

à chaud je dirais qu'un tunnel vpn entre tes commerciaux et ta maison mère pourrait t'aider ( et encore c à chaud ).
Au même titre qu'un tunnel ssh ou http

Maintenant je vais voir de mon côté ce que je trouve.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar iffefroi » 02 Mai 2005 15:45

oui oui, je parle bien de tunnel VPN IPSec (cf. sujet)

mais le problème est que IPSec (les vielles implémentation comme freeswan1.98b) ne gère pas les changements d'adresses d'une des deux extrémités. Ce qui est le cas lorsque mes commerciaux se situent sur un réseau privé (par ex : hotel où l'on ne peux gèrer le routeur).

De ce fait, il semblerait qu'une MNF semble une solution peux pratique pour un VPN avec une extrémité pouvant se situer sur une connexion partagée (dans un réseau privé avec une adresse masquée).

A moins évidemment que quelqu'un ne réussisse à faire l'exemple 3 de la documentation d'Eric FAURE.

Iffefroi
Avatar de l’utilisateur
iffefroi
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 23 Mars 2005 12:06
Localisation: Strasbourg

Messagepar iffefroi » 09 Juin 2005 10:02

Retour sur mon vieux post :

Voilà donc pour finir avec cette fameuse histoire et expliquer la solution que j'ai apporté pour que si des personnes cherchent et tombent sur ce topic, elles puissent enfin arrêter de chercher

Il n'est pas possible de faire marcher FreeSWan1.98b (par défaut) sur une MNF en mode nat-traversal, car ce n'était pas supporté à l'époque. Il n'est pas conseillé de mettre en place OpenSWan sur une MNF parce que :
1) il faudrait installer plein d'autres composants
2) la prise en charge de nat-traversal nécessiterait la recompilation du noyau (à vérifier)
3) la force de la MNF réside dans le fait qu'elle a atteint sa maturité, lui ajouter des composants enleverait de la stabilité à une MNF.

Donc la meilleure solution est donc de mettre le VPN sur un DMZ. Solution adopté de mon projet, OpenSwan sur Mandrake.

Voilà

Merci à ceux qui m'ont aidé.
Bonne chance à ceux qui tomberont sur ce post et que je n'aurai pas convaincu et qui cotinueront de chercher.

Iffefroi
Avatar de l’utilisateur
iffefroi
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 23 Mars 2005 12:06
Localisation: Strasbourg


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron